Sebep ya insan ya sistem

Symantec Corp. ve Ponemon Enstitüsü tarafından açıklanan “Veri İhlalleri Maliyeti Araştırması 2013: Küresel Analiz” sonuçlarına göre 2012 yılında gerçekleşen veri sızıntılarının üçte ikisi insan ve sistem hatalarından kaynaklanıyor. Veri sızıntılarının küresel çapta kayıt başına maliyeti ise ortalama 136 dolara ulaştı. Rapordaki sorunlar arasında çalışanların gizli bilgiyi hatalı yönetmesi, sistem kontrollerinin eksikliği ile endüstri ve devlet yönetmeliklerinin ihlalleri var. Sağlık, finans ve eczacılık gibi katı yönetmelikleri bulunan alanlarda veri sızıntısı maliyetlerinin diğer endüstrilere kıyasla yüzde 70 daha fazla olduğu da görülüyor.

Symantec, veri sızıntılarını engellemek ve gerçekleşmesi durumunda maliyeti düşürmek için üç önlem öneriyor: Çalışanların eğitimi ve gizli bilgiler işlenirken güvenliklerinin nasıl sağlanması gerektiği konusunda bilgilendirilmeleri, gizli bilgilere dışarıdan erişim ve şirket dışına çıkmasını engellemek için veri kaybını engelleyici teknolojiler kullanımı, şifreleme ve güçlü kimlik doğrulama çözümleri kullanımı ve son olarak, müşteri bilgilendirmesi için de gerekli adımları içeren bir olay müdahale planı hazırlamak.

Symantec İnternet Güvenlik Tehdidi Raporu sonuçları incelendiğinde genç ve internet kullanımı yüksek olan nüfusuyla Türkiye’nin de siber suçlar için ciddi bir platform olduğu görülüyor. Önceki yılın değerlendirmesinde genel siber saldırılar ortalamasında 21. sırada olan Türkiye, 2012 yılında 18. sıraya yükseldi. İstenmeyen postalar (spam) sıralamasında 17 basamak birden yükselerek 11.’liğe yerleşen Türkiye’de zararlı kodlar, ağ saldırıları ve botlarla yapılan saldırılarda ise azalma görüldü. Dünya trendi olarak görülen siber suçlular tarafından küçük işletmelerin hedef alınması ise Türkiye’de de geçerli oldu. Özellikle virüs yazılımında 464,2’de 1 oranında ve e-dolandırıcılık alanında 682,7’de 1 oranla 250’den az çalışanı olan işletmeler hedef alındı. Avrupa’ya bakıldığında Türkiye’nin genel tehdit ortalamasında 9. olduğu görülürken Türkiye, zararlı kod ve istenmeyen posta içeriklerinde 5., e-dolandırıcılık ve internet sitesi saldırıları alanında 8., bot kullanılan saldırılarda 6. ve ağ saldırıları alanında 10. sırada yer aldı.

Maliyet giderek artıyor

Güvenliği ihlal edilmiş müşteri kaydı başına küresel maliyet önceki yıla göre artış gösterirken, ABD’deki veri sızıntısı başına toplam maliyet az bir düşüşle 5,4 milyon dolar oldu. Bu düşüşün bilgi güvenliği yöneticilerinin (CISO’lar) kapsamlı çalışmaları sayesinde gerçekleştiği gözlemleniyor. Yani bilgi güvenliği yöneticilerinin kurum genelinde sorumluluk almaları, kapsamlı olay müdahale planlaması yapmaları ve daha etkin güvenlik programları uygulamaları ABD’de veri sızıntısı maliyetlerinin düşme nedeni.

Ponemon Enstitüsü Başkanı Larry Ponemon, “Harici saldırılar ve gelişen yöntemleri şirketlere büyük tehdit oluştururken içeriden gelen tehditler de aynı derecede yıkıcı ve sinsi olabiliyor. Veri sızıntısı maliyetleri üzerine yapılan sekiz yıllık araştırma sonucunda, çalışanların neden olduğu veri sızıntılarının, araştırmanın başında toplanan ilk verilere kıyasla yüzde 22 oranında artış göstermesinin şirketlerin karşılaştığı en önemli sorun olduğunu tespit etmiş bulunuyoruz” dedi.Symantec Bilgi Güvenliği Grubu Başkan Yardımcısı Anil Chakravarthy de araştırmayı; “Güçlü güvenlik önlemlerine ve olay müdahale planlarına sahip olan işletmelerin diğerlerine oranla yüzde 20 daha az maliyetle karşılaşmaları iyi koordine edilmiş bütünsel yaklaşımın önemini açıkça ortaya koyuyor. Şirketler, PC’de, mobil cihazda, şirket ağında veya veri merkezinde depolanan gizli müşteri bilgilerini korumak zorundadır” şeklinde yorumladı.

Sekizinci yılına giren küresel rapor, ABD, İngiltere, Fransa, Almanya, İtalya, Hindistan, Japonya, Avusturalya ve Brezilya gibi ülkeleri de kapsayan dokuz ülkeden 277 şirketin karşılaştığı veri sızıntısı deneyimlerini temel alıyor. Dokuz ülkeye ait ve küresel özet raporlarına http://bit.ly/10FjDik adresinden ulaşabilirsiniz. Raporda incelenen tüm veri sızıntısı olayları 2012 takvim yılı içinde gerçekleşirken Ponemon Enstitüsü, eğilim verilerinin doğru olarak izlenmesi için 100,000’den fazla güvenliği ihlal edilmiş kayıttan “mega veri sızıntılarını” rapora dahil etmedi. Öte yandan şirketler Symantec Veri İhlali Risk Hesaplayıcısı sayfasını ziyaret ederek organizasyonun büyüklüğünü, endüstriyi, lokasyon ve güvenlik önlemlerini göz önünde bulundurarak kayıt başına ve organizasyon kapsamında karşılaşabilecekleri olası maliyetlerin yaklaşık değerlerini ve kendi risk seviyelerini öğrenebiliyorlar.

Bu detaylara dikkat

• Veri sızıntısı başına ortalama maliyet ülkeden ülkeye farklılık gösteriyor: Almanya, Avustralya, Birleşik Krallık ve ABD gibi ülkeler veri gizliliği ve siber güvenliği güçlendiren daha köklü tüketici koruma yasalarına ve yönetmeliklerine sahip. ABD ve Almanya en yüksek veri sızıntısı maliyetleriyle karşılaşmaya devam ediyor. Bu iki ülke ayrıca veri sızıntısı başına en yüksek toplam maliyete sahip ülkeler.

• İnsan ve sistem hataları veri sızıntılarının temel nedenleri: İnsan hataları ve sistemsel sorunlar küresel olarak gerçekleşen veri sızıntılarının yüzde 64’ünü oluştururken daha önceki rapora göre çalışanların yüzde 62’si kurumsal verinin şirket dışına çıkarılmasını kabul edilebilir görürken büyük çoğunluğu veriyi silmeyip dışarıya sızdırılmaya elverişli şekilde bırakıyor.

• Kötü amaçlı ve suç kapsamındaki saldırılar en yüksek maliyetleri doğuruyor: Kümülatif sonuçlara göre kötü amaçlı veya kriminal saldırılar veri sızıntılarının %37’sini oluşturuyor ve dokuz ülkede en yüksek maliyetli veri sızıntısı vakaları olarak öne çıkıyor. Kötü amaçlı ve kriminal saldırılardan kaynaklı en yüksek maliyetli veri sızıntısı vakaları 277$ ve güvenliği ihlal edilmiş kayıt başına 214$ olarak Amerikan ve Alman şirketlerinde gerçekleşirken, en düşük maliyetli veri sızıntısı vakaları 71$ ve güvenliği ihlal edilmiş kayıt başına 46$ olarak Brezilya ve Hindistan’da gerçekleşti. Ayrıca en fazla kötü amaçlı veya kriminal saldırılara Alman firmalar hedef olurken, onları Avustralya ve Japon şirketleri takip etti.

• Bazı organizasyonel faktörler maliyeti düşürüyor: Veri sızıntısı maliyetlerinde en büyük düşüş sahip oldukları katı güvenlik kuralları, olay müdahale planları ve bilgi güvenliği yönetimi sayesinde Amerikalı ve İngiliz şirketlerinde yaşandı. Amerikalı ve Fransız firmalar ise veri sızıntısı süreç iyileştirme danışmanları ile maliyetleri düşürdü.